Un plugin WordPress appelé LayerSlider, utilisé sur plus d'un million de sites, est vulnérable à une injection SQL non authentifiée, ce qui oblige les administrateurs à appliquer en priorité les mises à jour de sécurité pour le plugin.

LayerSlider est un outil polyvalent qui permet de créer des sliders réactifs, des galeries d'images et des animations sur les sites WordPress, ce qui permet aux utilisateurs de créer des éléments visuellement attrayants avec un contenu dynamique sur les plateformes en ligne.

Le chercheur AmrAwad a découvert la faille critique (score CVSS : 9.8), répertoriée sous le nom de CVE-2024-2879, le 25 mars 2024, et l'a signalée à l'entreprise de sécurité WordPress Wordfence via son programme de primes aux bugs. Pour son signalement, AmrAwad a reçu une prime de 5 500 dollars.

Les détails techniques fournis dans le rapport de Wordfence révèlent que la vulnérabilité existe dans le traitement du paramètre "id" par la fonction "ls_get_popup_markup" du plugin.

Cette fonction n'analyse pas correctement le paramètre "id", ce qui permet aux attaquants d'injecter du code SQL malveillant dans des requêtes spécialement conçues, ce qui entraîne l'exécution de commandes.

Le créateur du plugin, Kreatura Team, a été immédiatement informé de la faille et a rapidement pris connaissance du rapport. Les développeurs ont publié une mise à jour de sécurité le 27 mars 2024, moins de 48 heures après le premier contact.

Il est recommandé à tous les utilisateurs de LayerSlider de passer à la version 7.10.1, qui corrige la vulnérabilité critique.

D'une manière générale, il est important que les administrateurs de sites WordPress gardent tous leurs plugins à jour, désactivent ceux qui ne sont pas nécessaires, utilisent des mots de passe de compte forts et désactivent les comptes inactifs qui peuvent être détournés.